Malware TrickBot se actualiza para dificultar su detección

Investigadores de Palo Alto Networks, han comentado que los desarrolladores de TrickBot han actualizado sus bases para que el malware se ejecute desde la memoria del dispositivo infectado; con esto ayudan a evitar su detección.

Como ya hemos informado en boletines anteriores, desde el comienzo de la pandemia, TrickBot se ha mantenido muy activo, especialmente a través de correos electrónicos de phishing, atrayendo a las víctimas a hacer clic en archivos adjuntos maliciosos.

TrickBot Malware

Cuando los investigadores detectaron por primera vez TrickBot en 2016, el malware funcionaba como un troyano bancario. Pero desde entonces se ha transformado en un ladrón de información y una puerta trasera. Desde entonces, hemos visto diversas evoluciones del malware, conviertiéndolo en una seria amenaza.

Gracias a su arquitectura modular, los desarrolladores maliciosos lo han equipado constantemente con capacidades adicionales, incluida la deshabilitación del antivirus incorporado de Microsoft Windows Defender, como también módulos para la recopilación información del sistema y de la cuenta de usuario. Además, TrickBot está vinculado a todo un paquete de distribución de malware como Emotet y el ransomware Ryuk.

Nuevo módulo "nworm".

Los investigadores de Palo Alto descubrieron que la última actualización de TrickBot cambia uno de los módulos que utiliza el malware para propagarse desde un dispositivo infectado de Microsoft Windows a un controlador de dominio. El módulo anterior, llamado "mworm", ha sido reemplazado por uno nuevo denominado "nworm". Este nuevo módulo se ejecuta en la memoria del controlador de dominio en lugar del disco duro y permite que el malware TrickBot desaparezca cuando se reinicia o apaga el dispositivo infectado, sin dejar rastro del código malicioso en el controlador de dominio de destino. Esto hace que sea más difícil para las herramientas de seguridad detectar y analizar.

¿Cómo funciona?

En una infección típica de TrickBot, el malware escaneará un dispositivo y luego descargará los módulos necesarios para mantener la persistencia dentro de la red y realizar actividades maliciosas. Al encontrar un dispositivo con Windows Active Directory, descarga el módulo mworm para infectar el controlador de dominio. Dado que hoy en día las herramientas de seguridad pueden detectar estos tipos más antiguos de infecciones del controlador de dominio. Los desarrolladores de TrickBot con la adición del nuevo módulo nworm, ahora lanzan la infección del controlador de dominio desde la memoria, lo que hace que sea más difícil de detectar. También proporciona una capa de cifrado para ayudar a proteger el malware de las herramientas de seguridad, señalan los investigadores.

Las infecciones causadas por el nuevo módulo nworm de TrickBot no parecen sobrevivir a un reinicio o apagado, pero eso hace que sea más difícil de detectar porque no quedan pistas para analizar.

Microsoft Security Intelligence

Microsoft advierte hasta ahora, las campañas de TrickBot difundidas a través de correos con archivos de ofimática adjuntos con macros habilitadas, tienen un retraso de aproximadamente 20 segundos antes de entregar la carga útil final, esto podría permitir que el malware evada la emulación o el análisis de algunas sandbox.

Panorama

Este nuevo método de persistencia y evasión demuestra las capacidades y destrezas de quienes están detrás de las campañas maliciosas de TrickBot. Con ésto, han delimitado bien sus objetivos, dirigidos principalmente hacia dispositivos que no se reinician con frecuencia, como los servidores. Es probable que el equilibrio entre sigilo y persistencia funcione a favor de los atacantes, ya que los servidores rara vez se apagan o reinician.

TrickBot, por sí solo, es definitivamente una mala noticia para las empresas. No obstante, estimamos que las infecciones de este malware son solo una pequeña parte de un ataque mayor, que según la experiencia terminará con el despliegue de ransomware en las organizaciones víctimas.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.